消息队列Kafka版：SASL用户授权

注意事项

• 实例的默认SASL用户仅提供身份校验，支持所有Topic和Group的读写权限。如果需要更细致的权限控制，您需开启ACL，创建SASL用户，按需赋予SASL用户向消息队列Kafka版收发消息的权限。开启ACL之后，默认的SASL用户权限将失效。
• 开启ACL后，不支持通过发送消息的方式自动创建Topic。

前提条件

您的消息队列Kafka版实例必须满足以下条件：

• 实例规格类型为专业版。
• 实例运行状态为服务中。
• 大版本为2.2.0版本及以上。如何升级实例大版本，请参见升级大版本。
• 小版本为最新版。如何升级实例小版本，请参见升级小版本。

步骤一：开启ACL

升级实例的小版本后，在消息队列Kafka版控制台为实例开启ACL。

1. 登录消息队列Kafka版控制台。
2. 在概览页面的资源分布区域，选择地域。
3. 在实例列表页面，单击目标实例名称。
4. 在实例详情页面，单击概览区域右上角的开启 ACL。
5. 在提示对话框，单击确认，然后手动刷新页面。
   手动刷新页面后，实例详情页面的基础信息区域，运行状态显示升级中。待实例的状态显示服务中说明开启ACL任务完成。

   重要 升级完成后，实例才会开启ACL。您才可以创建SASL用户并为其授权，通过SASL接入点接入。升级预计需要15分钟~20分钟。

步骤二：创建SASL用户

实例开启ACL后，为用户A创建SASL用户。

1. 登录消息队列Kafka版控制台。
2. 在概览页面的资源分布区域，选择地域。
3. 在实例列表页面，选择已经开启ACL的实例。
4. 在实例详情页面，单击SASL 用户管理页签。
5. 在SASL 用户管理页签中，单击创建 SASL 用户。
6. 在创建 SASL 用户面板，设置SASL用户，然后单击创建。
   

   参数	描述
   用户名	SASL用户的名称。
   用户类型	消息队列Kafka版支持的SASL机制如下： PLAIN： 一种简单的用户名密码校验机制。消息队列Kafka版优化了PLAIN机制，支持不重启实例的情况下动态增加SASL用户。 SCRAM：一种用户名密码校验机制，安全性比PLAIN更高。消息队列Kafka版使用SCRAM-SHA-256。
   密码	SASL用户的密码。
   确认密码	确认SASL用户的密码。

   创建完成后，SASL 用户管理页签下方显示您创建的SASL用户。

   • 如果您需要更改SASL用户的密码，单击其操作列的修改密码。在修改SASL用户密码面板，设置新密码并确认新密码。单击确定。
   • 如果您需要删除SASL用户，单击其操作列的删除。

步骤三：授予SASL用户权限

为用户A创建SASL用户后，为该SASL用户授予从Topic和Consumer Group读取消息的权限。

1. 在实例详情页面，单击SASL 权限管理页签。
2. 在SASL 权限管理页签，单击添加权限。
3. 在添加权限面板，配置如下参数，然后单击确定。
   

   参数	描述
   用户名	SASL用户的名称。消息队列Kafka版支持通配符星号（*）表示所有用户名。
   资源类型	消息队列Kafka版支持授权的资源类型如下： Topic：消息主题。 Group：消费组。 Cluster：实例。 TransactionalId：事务ID。
   匹配方式	消息队列Kafka版支持的匹配模式如下： 完全匹配：只会匹配名称完全相同的资源。 前缀匹配：匹配以输入的内容作为前缀的任意资源名称。
   资源名	Topic、Group或Cluster的名称，或者是事务的ID。消息队列Kafka版支持通配符星号（*）表示所有资源名。
   操作类型	消息队列Kafka版支持的操作类型如下： 写入 读取 幂等写 重要 资源类型Group仅支持操作类型读取。 资源类型Cluster仅支持操作类型幂等写。

   配置完成之后，在SASL 权限管理页签，可设置资源类型、匹配方式、资源名与用户名，单击查询，查看已创建的用户权限。

相关操作

完成授权后，用户A可以通过SASL接入点接入消息队列Kafka版并使用PLAIN机制消费消息。如何使用SDK接入，请参见SDK概述。